Gerenciar identidades gerenciadas e atribuídas pelo usuário

As identidades gerenciadas para recursos do Azure eliminam a necessidade de gerenciar credenciais no código. Você pode usá-las para obter um token do Microsoft Entra para seus aplicativos. Os aplicativos podem usar o token ao acessar recursos que dão suporte à autenticação do Microsoft Entra. O Azure gerencia a identidade para que você não tenha que fazê-lo.

Há dois tipos de identidades gerenciadas: atribuídas pelo sistema e atribuídas pelo usuário. As identidades gerenciadas atribuídas pelo sistema têm seu ciclo de vida associado ao recurso que as criou. Essa identidade é restrita a apenas um recurso, e você pode conceder permissões à identidade gerenciada usando o RBAC (controle de acesso baseado em função) do Azure. As identidades gerenciadas atribuídas pelo usuário podem ser usadas em vários recursos. Para saber mais sobre identidades gerenciadas, confira O que são identidades gerenciadas para recursos do Azure?.

Neste artigo, você aprenderá a criar, listar, excluir ou atribuir uma função a uma identidade gerenciada atribuída pelo usuário usando o portal do Azure.

Pré-requisitos

• Se você não estiver familiarizado com identidades gerenciadas para recursos do Azure, confira a seção de visão geral. Examine a diferença entre uma identidade gerenciada atribuída pelo sistema e atribuída pelo usuário.
• Se você ainda não tiver uma conta do Azure, inscreva-se em uma conta gratuita antes de continuar.

Criar uma identidade gerenciada atribuída pelo usuário

Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Colaborador de Identidade Gerenciada .

1. Entre no portal do Azure.

2. Na caixa de pesquisa, insira Identidades Gerenciadas. Em Serviços, selecione Identidades Gerenciadas.

3. Selecione Adicionar e insira valores nas seguintes caixas no painel Criar Identidade Gerenciada Atribuída ao Usuário :

   • Assinatura: escolha a assinatura sob a qual criar a identidade gerenciada atribuída pelo usuário.
   • Grupo de recursos: escolha um grupo de recursos para criar a identidade gerenciada atribuída pelo usuário ou selecione Criar novo para criar um novo grupo de recursos.
   • Região: escolha uma região para implantar a identidade gerenciada atribuída pelo usuário, por exemplo, Oeste dos EUA.
   • Nome: insira o nome da sua identidade gerenciada atribuída pelo usuário, por exemplo, UAI1.

   Importante

   Ao criar identidades gerenciadas atribuídas pelo usuário, o nome deve começar com uma letra ou número e pode incluir uma combinação de caracteres alfanuméricos, hifens (-) e sublinhados (_). Para que a atribuição a uma máquina virtual ou um conjunto de dimensionamento de máquinas virtuais funcione corretamente, o nome é limitado a 24 caracteres. Para obter mais informações, consulte perguntas frequentes e problemas conhecidos.

   

4. Selecione Examinar + criar para examinar as alterações.

5. Selecione Criar.

Listar identidades gerenciadas atribuídas ao usuário

Para listar ou ler uma identidade gerenciada atribuída pelo usuário, sua conta precisa ter atribuições de função de Operador de Identidade Gerenciada ou Colaborador de Identidade Gerenciada .

1. Entre no portal do Azure.

2. Na caixa de pesquisa, insira Identidades Gerenciadas. Em Serviços, selecione Identidades Gerenciadas.

3. Uma lista de identidades gerenciadas atribuídas ao usuário para a sua assinatura é retornada. Para ver os detalhes de uma identidade gerenciada atribuída pelo usuário, clique no nome.

4. Agora você pode exibir os detalhes sobre a identidade gerenciada, conforme mostrado na imagem abaixo.

   

Excluir uma identidade gerenciada atribuída ao usuário

Para excluir uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Colaborador de Identidade Gerenciada .

A exclusão de uma identidade atribuída pelo usuário não a remove da VM (máquina virtual) ou recurso ao qual ela foi atribuída. Para remover a identidade atribuída pelo usuário de uma VM, consulte Remover uma identidade gerenciada atribuída pelo usuário de uma VM.

1. Entre no portal do Azure.

2. Selecione a identidade gerenciada atribuída pelo usuário e selecione Excluir.

3. Na caixa de confirmação, selecione Sim.

   

Gerenciar o acesso a identidades gerenciadas e atribuídas pelo usuário

Em alguns ambientes, os administradores optam por limitar quem pode gerenciar identidades gerenciadas atribuídas pelo usuário. Os administradores podem implementar essa limitação usando funções RBAC internas . É possível usar essas funções para conceder a um usuário ou grupo em seus direitos de organização uma identidade gerenciada atribuída pelo usuário.

1. Entre no portal do Azure.

2. Na caixa de pesquisa, insira Identidades Gerenciadas. Em Serviços, selecione Identidades Gerenciadas.

3. Uma lista de identidades gerenciadas atribuídas ao usuário para a sua assinatura é retornada. Selecione a identidade gerenciada atribuída pelo usuário à qual você deseja gerenciar.

4. Selecione controle de acesso (IAM).

5. Escolha Adicionar atribuição de função.

   

6. No painel Adicionar atribuição de função , escolha a função a ser atribuída e escolha Avançar.

7. Escolha quem deve ter a função atribuída.

Observação

Você pode encontrar informações sobre como atribuir funções a identidades gerenciadas em Atribuir um acesso de identidade gerenciada a um recurso usando o portal do Azure

Neste artigo, você aprenderá a criar, listar, excluir ou atribuir uma função a uma identidade gerenciada atribuída pelo usuário usando a CLI do Azure.

Pré-requisitos

• Se você não estiver familiarizado com identidades gerenciadas para recursos do Azure, confira a seção de visão geral. Examine a diferença entre uma identidade gerenciada atribuída pelo sistema e atribuída pelo usuário.
• Se você ainda não tiver uma conta do Azure, inscreva-se em uma conta gratuita antes de continuar.

• Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, consulte Introdução ao Azure Cloud Shell.

  

• Se você preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Para execuções no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.

  • Se você estiver usando uma instalação local, entre na CLI do Azure usando o comando az login . Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para obter outras opções de entrada, consulte Autenticar no Azure usando a CLI do Azure.

  • Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, consulte Usar e gerenciar extensões com a CLI do Azure.

  • Execute az version para localizar a versão e as bibliotecas dependentes instaladas. Para atualizar para a versão mais recente, execute az upgrade.

Importante

Para modificar as permissões de usuário ao usar uma entidade de serviço de aplicativo usando a CLI, você deve fornecer as permissões adicionais da entidade de serviço na API do Graph do Azure AD porque partes da CLI executam solicitações GET em relação à API do Graph. Caso contrário, você pode acabar recebendo uma mensagem que diz “Privilégios insuficientes para concluir a operação”. Para fazer essa etapa, acesse o registro de aplicativo na ID do Microsoft Entra, selecione seu aplicativo, selecione permissões de API e role para baixo e selecione o Azure Active Directory Graph. A partir daí, selecione permissões de aplicativo e adicione as permissões apropriadas.

Criar uma identidade gerenciada atribuída pelo usuário

Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Colaborador de Identidade Gerenciada .

Use o comando az identity create para criar uma identidade gerenciada atribuída pelo usuário. O parâmetro -g especifica o grupo de recursos em que a identidade gerenciada atribuída pelo usuário foi criada. O parâmetro -n especifica o nome. Substitua os valores de parâmetro <RESOURCE GROUP> e <USER ASSIGNED IDENTITY NAME> pelos seus próprios valores.

Importante

Ao criar identidades gerenciadas atribuídas pelo usuário, o nome deve começar com uma letra ou número e pode incluir uma combinação de caracteres alfanuméricos, hifens (-) e sublinhados (_). Para que a atribuição a uma máquina virtual ou um conjunto de dimensionamento de máquinas virtuais funcione corretamente, o nome é limitado a 24 caracteres. Para obter mais informações, consulte perguntas frequentes e problemas conhecidos.

az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>

Listar identidades gerenciadas atribuídas ao usuário

Para listar ou ler uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Operador de Identidade Gerenciada ou Colaborador de Identidade Gerenciada.

Para listar identidades gerenciadas atribuídas pelo usuário, use o comando az identity list . Substitua o valor <RESOURCE GROUP> por seus próprios valores.

az identity list -g <RESOURCE GROUP>

Na resposta JSON, as identidades gerenciadas atribuídas pelo usuário têm valor "Microsoft.ManagedIdentity/userAssignedIdentities" retornado para a chave type.

"type": "Microsoft.ManagedIdentity/userAssignedIdentities"

Excluir uma identidade gerenciada atribuída ao usuário

Para excluir uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Colaborador de Identidade Gerenciada .

Para excluir uma identidade gerenciada atribuída pelo usuário, use o comando az identity delete . O parâmetro -n especifica o nome. O parâmetro -g especifica o grupo de recursos em que a identidade gerenciada atribuída pelo usuário foi criada. Substitua os valores de parâmetro <USER ASSIGNED IDENTITY NAME> e <RESOURCE GROUP> pelos seus próprios valores.

az identity delete -n <USER ASSIGNED IDENTITY NAME> -g <RESOURCE GROUP>

Observação

A exclusão de uma identidade gerenciada atribuída ao usuário não removerá a referência de nenhum recurso ao qual foi atribuída. Remova-os de uma VM ou conjunto de dimensionamento de máquinas virtuais usando o comando az vm/vmss identity remove.

Próximas etapas

Para obter uma lista completa dos comandos de identidade da CLI do Azure, consulte az identity.

Para obter informações sobre como atribuir uma identidade gerenciada atribuída pelo usuário a uma VM do Azure, consulte Configurar identidades gerenciadas para recursos do Azure em uma VM do Azure usando a CLI do Azure.

Saiba como usar a federação de identidade de carga de trabalho para identidades gerenciadas para acessar recursos protegidos do Microsoft Entra sem gerenciar segredos.

Neste artigo, você aprenderá a criar, listar, excluir ou atribuir uma função a uma identidade gerenciada atribuída pelo usuário usando o PowerShell.

Pré-requisitos

• Se você não estiver familiarizado com identidades gerenciadas para recursos do Azure, confira a seção de visão geral. Examine a diferença entre uma identidade gerenciada atribuída pelo sistema e atribuída pelo usuário.
• Se você ainda não tiver uma conta do Azure, inscreva-se em uma conta gratuita antes de continuar.
• Para executar os scripts de exemplo, você tem duas opções:
  • Use o Azure Cloud Shell, que pode ser aberto usando o botão Experimentar no canto superior direito dos blocos de código.
  • Executar os scripts localmente com o Azure PowerShell, conforme descrito na próxima seção.

Neste artigo, você aprenderá a criar, listar e excluir uma identidade gerenciada atribuída pelo usuário usando o PowerShell.

Configurar o Azure PowerShell localmente

Para usar o Azure PowerShell localmente para este artigo em vez de usar Cloud Shell:

1. Instale a versão mais recente do Azure PowerShell , caso ainda não tenha feito isso.

2. Entre no Azure.

   Connect-AzAccount
   

3. Instale a versão mais recente do PowerShellGet.

   Install-Module -Name PowerShellGet -AllowPrerelease
   

   Talvez seja necessário Exit da sessão atual do PowerShell depois de executar esse comando para a próxima etapa.

4. Instale a versão de pré-lançamento do módulo Az.ManagedServiceIdentity para executar as operações de identidade gerenciada atribuídas pelo usuário neste artigo.

   Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
   

Criar uma identidade gerenciada atribuída pelo usuário

Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Colaborador de Identidade Gerenciada .

Para criar uma identidade gerenciada atribuída pelo usuário, use o comando New-AzUserAssignedIdentity. O parâmetro ResourceGroupName especifica o grupo de recursos em que a identidade gerenciada atribuída pelo usuário foi criada. O parâmetro -Name especifica o nome. Substitua os valores de parâmetro <RESOURCE GROUP> e <USER ASSIGNED IDENTITY NAME> pelos seus próprios valores.

Importante

Ao criar identidades gerenciadas atribuídas pelo usuário, o nome deve começar com uma letra ou número e pode incluir uma combinação de caracteres alfanuméricos, hifens (-) e sublinhados (_). Para que a atribuição a uma máquina virtual ou um conjunto de dimensionamento de máquinas virtuais funcione corretamente, o nome é limitado a 24 caracteres. Para obter mais informações, consulte perguntas frequentes e problemas conhecidos.

New-AzUserAssignedIdentity -ResourceGroupName <RESOURCEGROUP> -Name <USER ASSIGNED IDENTITY NAME>

Listar identidades gerenciadas atribuídas ao usuário

Para listar ou ler uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Operador de Identidade Gerenciada ou Colaborador de Identidade Gerenciada.

Para listar as identidades gerenciadas atribuídas pelo usuário, use o comando [Get-AzUserAssigned]. O parâmetro -ResourceGroupName especifica o grupo de recursos em que a identidade gerenciada atribuída ao usuário foi criada. Substitua o valor <RESOURCE GROUP> por seus próprios valores.

Get-AzUserAssignedIdentity -ResourceGroupName <RESOURCE GROUP>

Na resposta, as identidades gerenciadas atribuídas pelo usuário têm valor "Microsoft.ManagedIdentity/userAssignedIdentities" retornado para a chave Type.

Type :Microsoft.ManagedIdentity/userAssignedIdentities

Excluir uma identidade gerenciada atribuída ao usuário

Para excluir uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Colaborador de Identidade Gerenciada .

Para excluir uma identidade gerenciada atribuída pelo usuário, use o comando Remove-AzUserAssignedIdentity. O parâmetro -ResourceGroupName especifica o grupo de recursos onde a identidade atribuída pelo usuário foi criada. O parâmetro -Name especifica o nome. Substitua os valores de parâmetros <RESOURCE GROUP> e <USER ASSIGNED IDENTITY NAME> pelos seus próprios valores.

Remove-AzUserAssignedIdentity -ResourceGroupName <RESOURCE GROUP> -Name <USER ASSIGNED IDENTITY NAME>

Observação

A exclusão de uma identidade gerenciada atribuída ao usuário não removerá a referência de nenhum recurso ao qual foi atribuída. Atribuições de identidade devem ser removidas separadamente.

Próximas etapas

Para obter uma lista completa e mais detalhes das identidades gerenciadas do Azure PowerShell para comandos de recursos do Azure, consulte Az.ManagedServiceIdentity.

Saiba como usar a federação de identidade de carga de trabalho para identidades gerenciadas para acessar recursos protegidos do Microsoft Entra sem gerenciar segredos.

Neste artigo, você cria uma identidade gerenciada atribuída pelo usuário usando um ARM (Azure Resource Manager).

Pré-requisitos

• Se você não estiver familiarizado com identidades gerenciadas para recursos do Azure, confira a seção de visão geral. Examine a diferença entre uma identidade gerenciada atribuída pelo sistema e atribuída pelo usuário.
• Se você ainda não tiver uma conta do Azure, inscreva-se em uma conta gratuita antes de continuar.

Você não pode listar e excluir uma identidade gerenciada atribuída pelo usuário usando um modelo do ARM. Consulte os artigos a seguir para criar e listar uma identidade gerenciada atribuída ao usuário:

• Listar identidade gerenciada atribuída pelo usuário
• Excluir identidade gerenciada atribuída pelo usuário

Criação e edição de modelo

Os modelos do Resource Manager ajudam você a implantar recursos novos ou modificados definidos por um grupo de recursos do Azure. Há várias opções disponíveis para a edição e a implantação do modelo, tanto locais quanto baseadas em portal. Você poderá:

• Use um modelo personalizado do Azure Marketplace para criar um modelo do zero ou baseá-lo em um modelo de início rápido ou comum existente.
• Derive de um grupo de recursos existente exportando um modelo. Você pode exportá-los da implantação original ou do estado atual da implantação.
• Use um editor JSON local (como o VS Code) e carregue e implante usando o PowerShell ou a CLI do Azure.
• Use o projeto do Grupo de Recursos do Azure do Visual Studio para criar e implantar um modelo.

Criar uma identidade gerenciada atribuída pelo usuário

Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Colaborador de Identidade Gerenciada .

Para criar uma identidade gerenciada atribuída ao usuário, use o modelo a seguir. Substitua o valor <USER ASSIGNED IDENTITY NAME> por seus próprios valores.

Importante

Ao criar identidades gerenciadas atribuídas pelo usuário, o nome deve começar com uma letra ou número e pode incluir uma combinação de caracteres alfanuméricos, hifens (-) e sublinhados (_). Para que a atribuição a uma máquina virtual ou um conjunto de dimensionamento de máquinas virtuais funcione corretamente, o nome é limitado a 24 caracteres. Para obter mais informações, consulte perguntas frequentes e problemas conhecidos.

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "resourceName": {
          "type": "string",
          "metadata": {
            "description": "<USER ASSIGNED IDENTITY NAME>"
          }
        }
  },
  "resources": [
    {
      "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
      "name": "[parameters('resourceName')]",
      "apiVersion": "2018-11-30",
      "location": "[resourceGroup().location]"
    }
  ],
  "outputs": {
      "identityName": {
          "type": "string",
          "value": "[parameters('resourceName')]"
      }
  }
}

Próximas etapas

Para atribuir uma identidade gerenciada atribuída pelo usuário a uma VM do Azure usando um modelo do Resource Manager, consulte Configurar identidades gerenciadas para recursos do Azure em uma VM do Azure usando um modelo.

Saiba como usar a federação de identidade de carga de trabalho para identidades gerenciadas para acessar recursos protegidos do Microsoft Entra sem gerenciar segredos.

Neste artigo, você aprenderá a criar, listar e excluir uma identidade gerenciada atribuída pelo usuário usando o REST.

Pré-requisitos

• Se você não estiver familiarizado com identidades gerenciadas para recursos do Azure, confira a seção de visão geral. Examine a diferença entre uma identidade gerenciada atribuída pelo sistema e atribuída pelo usuário.
• Se você ainda não tiver uma conta do Azure, inscreva-se em uma conta gratuita antes de continuar.
• Você pode executar todos os comandos deste artigo na nuvem ou localmente:
  • Para ser executado na nuvem, use o Azure Cloud Shell.
  • Para ser executado localmente, instale o curl e a CLI do Azure.

Neste artigo, você aprenderá como criar, listar e excluir uma identidade gerenciada atribuída pelo usuário usando CURL para fazer chamadas à API REST.

Obter um token de acesso de portador

1. Se estiver em execução localmente, entre no Azure pela CLI do Azure.

   az login
   

2. Obtenha um token de acesso usando az account get-access-token.

   az account get-access-token
   

Criar uma identidade gerenciada atribuída pelo usuário

Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Colaborador de Identidade Gerenciada .

Importante

Ao criar identidades gerenciadas atribuídas pelo usuário, o nome deve começar com uma letra ou número e pode incluir uma combinação de caracteres alfanuméricos, hifens (-) e sublinhados (_). Para que a atribuição a uma máquina virtual ou um conjunto de dimensionamento de máquinas virtuais funcione corretamente, o nome é limitado a 24 caracteres. Para obter mais informações, consulte perguntas frequentes e problemas conhecidos.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview' -X PUT -d '{"location": "<LOCATION>"}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"

PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview HTTP/1.1

Cabeçalhos de solicitação

Cabeçalho da solicitação	Descrição
Tipo de conteúdo	Obrigatório. Defina como application/json.
Autorização	Obrigatório. Defina-o como um token de acesso Bearer válido.

Corpo da solicitação

Nome	Descrição
Localização	Obrigatório. Local do recurso.

Listar identidades gerenciadas atribuídas ao usuário

Para listar ou ler uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Operador de Identidade Gerenciada ou Colaborador de Identidade Gerenciada.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities?api-version=2015-08-31-preview' -H "Authorization: Bearer <ACCESS TOKEN>"

GET https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities?api-version=2015-08-31-preview HTTP/1.1

Cabeçalho da solicitação	Descrição
Tipo de conteúdo	Obrigatório. Defina como application/json.
Autorização	Obrigatório. Defina-o como um token de acesso Bearer válido.

Excluir uma identidade gerenciada atribuída ao usuário

Para excluir uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Colaborador de Identidade Gerenciada .

Observação

A exclusão de uma identidade gerenciada atribuída ao usuário não removerá a referência de nenhum recurso ao qual foi atribuída. Para remover uma identidade gerenciada atribuída pelo usuário de uma VM usando CURL, consulte Remover uma identidade atribuída pelo usuário de uma VM do Azure.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview' -X DELETE -H "Authorization: Bearer <ACCESS TOKEN>"

DELETE https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/TestRG/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview HTTP/1.1

Cabeçalho da solicitação	Descrição
Tipo de conteúdo	Obrigatório. Defina como application/json.
Autorização	Obrigatório. Defina-o como um token de acesso Bearer válido.

Próximas etapas

Para obter informações sobre como atribuir uma identidade gerenciada atribuída pelo usuário a uma VM do Azure ou conjunto de dimensionamento de máquinas virtuais usando CURL, confira:

• Configurar identidades gerenciadas para recursos do Azure em uma VM do Azure usando chamadas à API REST
• Configurar identidades gerenciadas para recursos do Azure em um conjunto de escalas de máquinas virtuais usando chamadas de API REST

Saiba como usar a federação de identidade de carga de trabalho para identidades gerenciadas para acessar recursos protegidos do Microsoft Entra sem gerenciar segredos.